kapitel 4 in diesem kapitel: vlans und trunking · ~abbildung 4-5 switch-sat- und vlan-ausgabe eine...

Dies ist ein Auszug aus dem Buch "Praxiskurs Routing und Switching", ISBN 978-3-86899-185-7 http://www.oreilly.de/catalog/pkroutingswger/Dieser Auszug unterliegt dem Urheberrecht. © O’Reilly Verlag 2011

KAPITEL 4

VLANs und Trunking

Der Wechsel von einfachen Hubs hin zu vermittelten Netzwerken(Switched Networks) war eine große Verbesserung. Die Kontrolleüber Kollisionen, erhöhter Durchsatz und von Switches zusätzlichangebotenen Features sind ein ausreichender Anreiz dafür, dieInfrastruktur zu aktualisieren. Doch auf der zweiten Schicht ver-mittelnde Topologien haben auch so ihre Schwierigkeiten. Aus-gedehnte flache Topologien können zu überfüllten Broadcast-Do-mains und zu Einschnitten in Bezug auf Sicherheit, Redundanz undLoad-Balancing führen. Das kann durch den Einsatz virtuellerlokaler Netzwerke (VLANs) gelindert werden. Dieses Kapitel be-handelt die Struktur und den Betrieb von VLANs, wie sie in IEEE802.1Q standardisiert sind. Die Diskussion umfasst auchMethodender Bündelung (Trunking), die man zur Kopplung von Geräten inVLANs nutzt.

Problem: Große Broadcast-DomainsInnerhalb jedes einzelnen LAN-Segments werden Datenübertragun-gen durch das gesamte Segment propagiert. Erhöht sich der Daten-verkehr, erhöht sich die Zahl der Kollisionen, und die sendendenKnoten müssen sich zurücknehmen und warten, bevor sie eine er-neute Übertragung starten. Während die Kollision aufgelöst wird,müssen auch andere Knoten warten, was den Andrang im LAN-Segment weiter erhöht.

Die obere Seite von Abbildung 4-1 zeigt ein kleines Netzwerk, indem PC 2 und PC 4 gleichzeitig versuchen, etwas zu senden. DieFrames werden von den Computern weg propagiert und kollidierenschließlich irgendwo zwischen den beiden Knoten auf der rechtenSeite. Die erhöhte Spannung und Leistung propagiert dann vomOrtder Kollision weg. Beachten Sie, dass die Kollision nicht über die

In diesem Kapitel:

• Problem: Große Broadcast-Domains

• Was ist ein VLAN?• Was ist ein Trunk?• Erwägungen zum VLAN-

Design• Lektüre• Zusammenfassung• Fragen• Antworten• Laborübungen

99

Switches an beiden Enden hinausgeht. Das sind die Grenzen derKollisionsdomäne (Collision Domain). Das ist einer der Hauptgrün-de, warum Hubs durch Switches ersetzt werden. Hubs (und AccessPoints) skalieren einfach nicht besonders gut, wenn sich der Netz-werk-Traffic erhöht.

Abbildung 4-1 "

Vor und nach der Kollision PC 1

Router Switch Hub Hub Hub Switch Router

PC 2 PC 3 PC 4 PC 5

PC 1


PC 2 PC 3 PC 4 PC 5

Die Verwendung von Switches in der zweiten Schicht eliminierteinen Großteil der Skalierungsprobleme, da solche Dinge wie Kolli-sionen herausgefiltert werden. Übertragungen werden stattdessendurch das Verhalten des Switches und der Broadcast-Domain be-stimmt. Eine Broadcast-Domain definiert den Bereich, über den einBroadcast-Frame propagiert wird. Zum Beispiel führt ein ARP-Re-quest von PC 3 zu einem Broadcast-Frame, der durch alle Switcheszu den Routern durchpropagiert wird (siehe Abbildung 4-2). EinBroadcast-Frame verwendet die Broadcast-Adresse (FF-FF-FF-FF-

FF-FF) als Ziel-MAC.

Abbildung 4-2 "

Broadcast-Domain PC 1


PC 2 PC 3 PC 4 PC 5

100 Kapitel 4: VLANs und Trunking

Durch die verbesserte Performance und die Filterung, die sich durchdie Switches ergibt, ist die Versuchung groß, große Schicht-2-To-pologien aufzubauen und viele Knoten einzufügen, doch das führtzu einer großen Broadcast-Domain. Das Problem besteht darin, dassalle Geräte im Netzwerk (Computer, Drucker, Switches etc.) Broad-cast- und Multicast-Frames erzeugen, die die gesamte Broadcast-Domain durchlaufen und mit den Daten um Bandbreite kämpfen.Ein Großteil dieses Traffics dient zur Verwaltung des Netzwerksund umfasst Protokolle zur Adressauflösung (ARP), zur dynami-schen Konfiguration von Hosts (DHCP), Spanning Tree (STP) undeiner Mischung von Windows-Aufgaben. Abbildung 4-3 verdeut-licht das potenzielle Problem. Gehen Sie davon aus, dass PC1 diefolgenden Requests generiert hat: ARP, Windows-Registrierungund DHCP.

PC 1

Router Switch 1 Switch Switch Switch Switch Router

PC 2 PC 3 PC 4 PC 5

ARPWindows-RegistrierungDHCP

3 Abbildung 4-3Anstieg der Broadcast-Frames

Da alle Requests einen Broadcast-Frame nutzen, werden die Framesin alle Richtungen weitergeleitet, sobald sie Switch 1 erreichen. Dadie anderen Switches in der Topologie dem prompt folgen, laufendie Frames durch das gesamte Netzwerk und werden von allenKnoten und Routern empfangen.

Erhöht sich die Zahl der Netzwerk-Knoten, steigt auch der Over-head. Jeder Switch kann mit Dutzenden Knoten verbunden sein,von denen jeder mehrere Broadcast-Frames erzeugt. Wird genugTraffic erzeugt, kann auch ein vermitteltes Netzwerk eine schlechtePerformance aufweisen. Der Einsatz von VLANs kann dieses Pro-blem lösen, indem er die Broadcast-Domain und damit den Trafficaufteilt.

Was ist ein VLAN?Ein virtuelles lokales Netzwerk (Virtual Local Area Network, VLAN)ist eine logische Gruppierung von Ports unabhängig von deren Lage.Ein einzelnes VLAN (und die darin angeschlossenen Knoten) verhal-

Was ist ein VLAN? 101

ten sich wie ein separates Schicht-3-Netzwerk. Die Zugehörigkeit zueinem VLAN muss nicht auf eine Reihe aufeinanderfolgender Portsoder gar auf Ports an einem Switch begrenzt sein. Abbildung 4-4 zeigteinen sehr weit verbreiteten Anwendungsfall, bei dem die Knoten miteinem Switch und der Switch mit einem Router verbunden ist. Siehtman sich die linke Seite an, geht man automatisch davon aus, dassalle Knoten im gleichen IP-Netzwerk liegen, da sie mit dem gleichenRouter-Interface verbunden sind.

Abbildung 4-4 "

Einfache Switch- undVLAN-Topologie

Router

Switch

Router

VLAN 1

Was bei der Topologie auf der linken Seite nicht offensichtlich wird,ist die Tatsache, dass alle Knoten Teil des gleichen VLANs sind. Einanderer Blick auf diese Topologie basiert daher auf dem VLAN aufder rechten Seite. Bei Cisco-Geräten ist beispielsweise VLAN 1 dasStandard-VLAN. Diese Ausgangskonfiguration schließt alle Ports alsMitglieder ein, was sich in der Quelladresstabelle (Source AddressTable, SAT) widerspiegelt. Sie wird häufig als die Tabelle beschrie-ben, die Frames basierend auf der Ziel-MAC-Adresse an den richti-gen Schicht-2-Port weiterleitet. Mit der Einführung von VLANsspiegelt die SAT die Port-zu-MAC-Abbildung auf VLAN-Basis wi-der, was zu fortgeschrittenen Forwarding-Entscheidungen führt.Abbildung 4-5 zeigt die Ausgabe der show mac-address-table- undshow vlan-Befehle. Alle Ports (Fa0/1 bis Fa0/24) liegen in VLAN 1.


~ Abbildung 4-5Switch-SAT- undVLAN-Ausgabe

Eine weitere typische Topologie sehen Sie in Abbildung 4-6, bei derzwei Switches durch einen Router getrennt sind. In diesem Fall isteine Gruppe von Knoten mit jedem Switch verbunden. Die Knoteneines Switches verwenden das gleiche IP-Adressierungsschema. Esgibt zwei Netzwerke: 192.168.1.0 und 192.168.2.0.

Router

192.168.1.254 192.168.2.254

Switch 1VLAN 1

PC 1192.168.1.1

PC 2192.168.1.2

PC 3192.168.2.1

PC 4192.168.2.2

Switch 2VLAN 1

3 Abbildung 4-6Router, Switch und VLANs

Beachten Sie, dass beide Switches im gleichen VLAN liegen, da dieSwitches eines Herstellers das gleiche Nummerierungsschema ver-wenden, solange keine Konfigurationsänderungen vorgenommenwurden. Ausgehender Netzwerk-Traffic muss zum Forwarding anden Router gesendet werden. Router geben Schicht-2-Unicast-, -Mul-ticast- und -Broadcast-Frames nicht weiter. VLANs bieten eine ver-


gleichbare logische Topologie, bei der die Knoten innerhalb desVLANs ein gemeinsames Adressierungsschema nutzen und ausge-henden Traffic zurWeiterleitung an den Router schicken. Indemmanein zusätzliches VLAN auf einem der Switches einrichtet und dasandere entfernt, kann man die Topologie aus Abbildung 4-6 neuanordnen, wie es in Abbildung 4-7 zu sehen ist.

Abbildung 4-7 "

Ein Switch,mehrere VLANs

192.168.1.254 192.168.2.254

PC 1

192.168.1.1 PC 2

192.168.1.2

PC 3

192.168.2.1

PC 4

192.168.2.2

VLAN 1 VLAN 2

Router

Switch 1

Ein VLAN arbeitet wie ein IP-basiertes Schicht-3-Netzwerk. Knotenim 192.168.1.0-Netzwerk müssen also den Router nutzen, wenn siemit Knoten im 192.168.2.0-Netzwerk kommunizieren wollen, ob-wohl alle Computer an den gleichen Switch angeschlossen sind. Umzwischen VLANs kommunizieren zu können, muss die Routing-funktionalität Teil der Topologie sein. Schicht-2-Unicast-, -Multi-cast- und Broadcast-Traffic überschreitet die Grenzen des VLANsnicht, weshalb in VLAN 1 generierter Traffic für die Knoten inVLAN 2 nicht sichtbar ist. Nur der Switch ist sich der VLANsbewusst. Die Knoten und die Routen »wissen« nicht, dass VLANsverwendet werden. Durch das Hinzufügen der Routingentschei-dung kann die Schicht-3-Funktionalität nur für zusätzliche Sicher-heitseinstellungen, für die Eindämmung von Problemen und Trafficsowie für das Load-Balancing genutzt werden.

Auswirkungen von VLANsDurch die Konfiguration mehrerer VLANs auf einem Switch wirddie Größe der jeweiligen Broadcast-Domain reduziert. Der Over-head-Traffic ist geringer und reduziert den Bandbreiten-Kampf mitdem eigentlichen Datenverkehr. Anders ausgedrückt: Ein Knoten ineinem bestimmten VLANmuss gegen weniger Broadcast-Traffic an-kämpfen. Da das Forwarding-Verhalten des Switches auf der MAC-Adresse der SAT basiert, gelten die folgenden Regeln:


• Bei bekannten Unicast-Zielen leitet der Switch den Frame nuran den Zielport weiter.

• Bei unbekannten Unicast-Zielen leitet der Switch den Frame analle aktiven Ports mit Ausnahme des Ursprungsports weiter.Das wird als Flooding (Fluten) bezeichnet.

• Bei Multicast- und Broadcast-Zielen leitet der Switch den Framean alle aktiven Ports mit Ausnahme des Ursprungsports weiter.

Allerdings muss der Switch nun zusätzlich noch das VLAN desZielknotens berücksichtigen. Wenn PC1 in Abbildung 4-7 einenARP-Request sendet, leitet der Switch den Frame nicht einfach analle Ports weiter, sondern erkennt, dass dieser Frame aus VLAN 1stammt. Daher sieht nur PC2 auf der ganz linken Router-Schnitt-stelle (192.168.1.254) den Frame.

Ziele und Vorteile aus dem 802.1Q-Standard :

• VLANs werden von allen IEEE 802-LAN-MAC-Protokollenunterstützt, über Shared-Media-LANs ebenso wie über Punkt-zu-Punkt-LANs.

• VLANs ermöglichen die einfache Administration logischerGruppenarbeitsplätze. Diese können miteinander so kommuni-zieren, als würden sie im gleichen LAN liegen. Sie ermöglichenauch eine einfachere Verwaltung von Verschiebungen, Ergän-zungen und Änderungen der Mitglieder dieser Gruppen.

• Der Datenverkehr zwischen VLANs ist beschränkt. Switchesleiten Unicast-, Multicast- und Broadcast-Traffic nur in LAN-Segmente des VLANs, zu dem dieser Traffic gehört.

• Soweit es möglich ist, erhalten VLANs die Kompatibilität mitexistierenden Switches und Endgeräten aufrecht.

• Sind alle Switch-Ports so konfiguriert, dass sie »ungetaggte«Frames senden und empfangen (Frames von/an nicht-VLAN-fähige Geräte), dann arbeiten die Switches im ISO/IEC 15802-3Plug-and-Play-Modus. Endgeräte können über das BridgedLAN kommunizieren.

VLAN-Ports müssen nicht zusammenhängenDa VLANs logische Gruppen von Knoten darstellen, die vom Ortunabhängig sind, spielt es keine Rolle, wo man die Knoten verbin-det. Abbildung 4-8 demonstriert das Konzept. Die Topologie inAbbildung 4-7 wird mit den IP-Adressen der geänderten Netzwerk-knoten abgebildet. Um die Dinge besser unterscheiden zu können,wird hier VLAN 1 rot und VLAN 2 blau dargestellt. Die Ports 1, 4


und 5 sind Teil des roten VLAN 1, während die Ports 2, 3 und 6 Teildes blauen VLAN 2 sind.

Meistens ist es so, dass die Netzwerk-Techniker die Topologie nichtjedes Mal neu verdrahten wollen, wenn ein neuer Knoten ange-schlossen wird. Also wird der Host einfach mit einem freien Portverbunden, und dieser Port wird dem entsprechenden VLAN zu-geordnet. Die Idee ist einfach, dass das Verhalten das gleiche ist,unabhängig davon, ob die Ports direkt nebeneinander liegen odernicht. Daher können PC1 und PC4 direkt miteinander kommuni-zieren, müssen aber den Router nutzen, um an PC2 und PC3 zugelangen. Die im roten VLAN 1 gesendeten Frames sind im blauenVLAN 2 nicht zu sehen.

Abbildung 4-8 "

Nicht zusammen-hängende VLANs

192.168.1.254 192.168.2.254

PC 1

192.168.1.1 PC 2

192.168.2.1

PC 3

192.168.2.100

PC 4

192.168.1.99

Router

Switch 1

5

1 2 3 4

6

Arten von VLANsEs gibt zwei Arten von VLANs: statische und dynamische. Mitbeiden Arten lassen sich kleine und große geografische Gebieteabdecken. Die bislang diskutierte Art von VLAN (ein in mehrereVLANs unterteilter Switch) wird als statisches VLAN bezeichnet.Die Mitgliedschaft wird größtenteils durch die geografische Lagebestimmt und dadurch, mit welchem Port ein bestimmter Knotenverbunden ist. Die meisten Knoten eines bestimmten VLANs befin-den sich üblicherweise im gleichen Gebäude, Gang oder in einerReihe von Büros. Bei solchen VLANs kann man auch von einerlokalen Mitgliedschaft sprechen.

Abbildung 4-9 zeigt ein Beispiel dafür, wie Knoten und VLANsangeordnet sein können. PC1 und PC2 liegen physisch im gleichenGebäudeteil und werden daher dem gleichen VLAN zugeordnet.Das Gleiche gilt für PC3 und PC4. Es ist anzunehmen, dass sie vonBenutzern der gleichen Abteilung verwendet werden. Diese Art der


Topologie wird von einem Netzwerkadministrator von Hand kon-figuriert. Er weist die Ports eines Switches einem bestimmtenVLAN zu. Abermals wissen Knoten und Router nichts von denVLANs.

192.168.1.254 192.168.2.254

PC 1

192.168.1.1 PC 2

192.168.1.2

PC 3

192.168.2.1

PC 4

192.168.2.2

VLAN 1

Gebäude 10 1. Stock Gebäude 10 2. Stock

VLAN 2

Router

Switch 1

3 Abbildung 4-9Statisches VLAN, lokaleMitgliedschaft

Die meisten VLANs sind mit statischer Mitgliedschaft konfiguriert.Bei Topologien, wie sie oben beschrieben wurden, bleiben dieKnoten mit dem gleichen Port verbunden, und es gibt keine Not-wendigkeit, die VLAN-Mitgliedschaft zu ändern. Der Computer istüblicherweise an einen Schreibtisch oder Arbeitsplatz gebunden,der einem Mitarbeiter zugeordnet ist, und darum muss man sichkeine Gedanken darüber machen, dass die Maschine ihre Positionändert.

Es gibt aber Fälle, in denen die Knoten sich bewegen. Es könntenotwendig sein, auf unterschiedliche Ressourcen zuzugreifen. Portskönnten zu unterschiedlichen Zeiten von verschiedenen Abteilun-gen benutzt werden, oder es könnten unterschiedliche Sicherheits-grade benötigt werden. Dynamische VLANs sind für diese Fällebesser geeignet. Bei dynamischen VLANs können sich die Knotenbewegen, ohne dass sich die VLAN-Mitgliedschaft ändert. Manschließt sich also einfach an, einen Port an und der Switch kon-figuriert den Port automatisch für die Mitgliedschaft im richtigenVLAN. Ein Port, der bei Knoten A für den Zugriff auf VLAN 1konfiguriert war, würde dann für Knoten B in das VLAN 2 wech-seln. Betrachten wir den Fall in Abbildung 4-10. PC4 ist nun einLaptop und wechselt von einem Port in VLAN 2 zu einem Port inVLAN 1.


Abbildung 4-10 "

Von einem VLAN zumanderen wechseln

192.168.1.254 192.168.2.254

PC 1

192.168.1.1 PC 3

192.168.2.1

PC 4

192.168.2.2

VLAN 1 VLAN 2

Router

Server

Switch 1

1. Fall: DHCP

Wird DHCP eingesetzt, erhält PC4 beimWechsel einfach eine neueIP-Adresse (auch wenn dies nicht garantiert wird). Das ist dasübliche Verhalten von Knoten, die die Verbindung zu einem Netz-werk in einem bestimmten VLAN herstellen. Sind allerdings be-stimmte Dienste oder Sicherheitsmaßnahmen aktiv und verlangtdas Unternehmen eine Trennung der VLANs, dann kann dieseKonfiguration ein Problem mit sich bringen: den Zugriff auf denServer. Im neuen Netzwerk ist PC4 möglicherweise nicht mehr inder Lage, den richtigen Server zu erreichen, oder es ist eine zusätz-liche Konfiguration notwendig, um den Wechsel zu unterstützen.

2. Fall: Kein DHCP

Ist die IP-Adresse von PC4 statisch konfiguriert, passt sie beimWechsel nicht mit zum neuen Netzwerk. Er kann die IP-Adressedes Gateways oder Servers nicht mehr erreichen. In diesem Fall hatder Knoten keinerlei Verbindung mehr.

Lösung: Dynamische VLANs

Ist der Switch nun clever genug, zu erkennen, dass PC4 jetzt aneinem neuen Port hängt, kann er die Verbindung möglicherweiseautomatisch reparieren. Sobald PC4 mit dem neuen Port verbundenist, generiert er Traffic. Empfängt der Switch ein Frame von PC4,führt er einen Datenbank-Lookup durch, um die VLAN-Mitglied-schaft zu ermitteln und dem Port das passende VLAN zuzuweisen.Sobald das geschehen ist, kann PC4 wie vor dem Umzug kommuni-zieren. Die neue Topologie ist in Abbildung 4-11 zu sehen. DerKnoten muss nicht einmal seine IP-Adresse ändern.


192.168.2.254

PC 1

192.168.1.1 PC 3

192.168.2.1

PC 4

192.168.2.2

VLAN 1 VLAN 2

Router

Server

Switch 1

3 Abbildung 4-11Neue dynamischeVLAN-Topologie

Doch woher weiß der Switch das? Die am weitesten verbreiteteMethode der Zuweisung dynamischer VLAN-Mitgliedschaften nutztdie MAC-Adresse. Sobald der Knoten seinen ersten Frame erzeugt,schließt der Switch die Abfrage der MAC-Adresse ab und weist denPort zu. Die Knoten wissen immer noch nicht, dass mit VLANs ge-arbeitet wird. Die VLAN-Mitgliedschaft kann auch anhand andererKriterien vergeben werden oder an Authentifizierungsschemata wie802.1X gekoppelt sein.

VLANs zwischen SwitchesBisher haben wir den Einsatz von VLANs auf einem einzelnen Switchbetrachtet. Es stellt sich natürlich die Frage, was passiert, wenn dasGesamtnetzwerk aus mehreren Switches besteht. Wie funktioniertdas? Die Antworten hängen von der Konfiguration der Switches ab.Eine Standardkonfiguration ist in Abbildung 4-12 zu sehen. Manerkennt zwei miteinander verbundene Switches, an die einfach einigeKnoten angeschlossen sind. Das Standard-VLAN ist (wenn wir vonCisco-Geräten ausgehen) für beide Switches VLAN 1. Das bedeutetauch, dass die Verbindungen zwischen den Switches ebenfalls inVLAN 1 liegen. Der Router stellt für alle Knoten den Ausgang dar.

Router192.168.1.254

PC 1

192.168.1.1

PC 2

192.168.1.2

PC 3

192.168.1.3

PC 4

192.168.1.4

Switch 1: VLAN 1 Switch 2: VLAN 1

3 Abbildung 4-12Mehrere Switches,ein VLAN


Bei dieser Standard-Topologie haben die Knoten keine Schwierig-keiten, die Verbindung untereinander herzustellen, weil die SATsauf den Switches zeigen, dass alle im gleichen VLAN liegen. DerUnicast-, Multicast- und Broadcast-Traffic kann sich also frei bewe-gen. Beachten Sie auch, dass die Knoten im gleichen IP-Netzwerkliegen. Die Verbindung zwischen den Switches übernimmt entwe-der ein gekreuztes Kabel oder ein Uplink-Port.

Probleme treten auf, wenn neue VLANs angelegt werden, wie inAbbildung 4-13 zu sehen ist. Da die VLANs Schicht-3-Grenzen umdie mit den Hosts verbundenen Ports ziehen, können diese nichtmehr kommunizieren.

Router192.168.1.254

PC 1

192.168.1.1

PC 2

192.168.1.2

PC 3

192.168.1.3

PC 4

192.168.1.4

Switch 1:VLAN 1

Switch 1:VLAN 2

Switch 1:VLAN 3

Switch 2:VLAN 2

Switch 2:VLAN 3

Switch 2:VLAN 1

Abbildung 4-13 ~

Probleme mitzusätzlichen VLANs

Sieht man sich Abbildung 4-13 an, erkennt man eine Reihe vonProblemen. Erstens liegen alle Computer im gleichen IP-Netzwerk,obwohl sie an unterschiedliche VLANs angeschlossen sind. Zwei-tens ist der Router von allen Knoten abgeschnitten, da er in VLAN 1liegt. Und schließlich sind die Switches über verschiedene VLANsmiteinander verbunden. Jedes Problem würde für sich genommendie Kommunikation erschweren, aber zusammengenommen gibt esnur wenig oder gar keine Kommunikation im Netzwerk.

Es kommt häufig vor, dass ein Switch voll ist oder dass Knoten in-nerhalb der gleichen administrativen Einheit geografisch voneinan-der getrennt sind. In diesen Fällen kann ein VLAN über eine so-genannte Trunk Line auf benachbarte Switches ausgedehnt werden.Wir gehen im folgenden Abschnitt noch genauer auf Trunks ein. ImMoment reicht es, wenn Sie wissen, dass separate Switches ver-bindende Trunks (unter anderem) VLAN-Informationen zwischenNetzwerkgeräten übertragen können. Abbildung 4-14 schlägt ver-schiedene Änderungen vor, um die in Abbildung 4-13 gezeigtenPunkte zu korrigieren.


192.168.1.254192.168.1.254

PC 1

192.168.1.1

PC 3

192.168.2.1

PC 2

192.168.1.2

PC 4

192.168.2.2

Switch 1:VLAN 1

Switch 1:VLAN 2

Switch 1:VLAN 3

Switch 2:VLAN 2

Switch 2:VLAN 3

RouterTrunk Line

802.1q

Switch 2:VLAN 1

1 2

T T

3 4 5 6

~ Abbildung 4-14Mittels Trunkingreparierte Topologie

Die Korrekturen an der Topologie sind wie folgt:

• PC1 und PC2 wurden demNetzwerk 192.168.1.0 und VLAN 2zugeordnet.

• PC3 und PC4 wurden demNetzwerk 192.168.2.0 und VLAN 3zugeordnet.

• Die Router-Interfaces sind mit den VLANs 2 und 3 verbunden.

• Die Switches sind über Trunk Lines miteinander verbunden.

Beachten Sie, dass die Trunk-Ports scheinbar in VLAN 1 liegen. DerBuchstabe T deutet aber an, dass das nicht der Fall ist. Trunk-Portsliegen in keinem bestimmten VLAN. Da sich die VLANs nun übermehrere Switches erstrecken, können die Knoten physisch an einembeliebigen Ort liegen und dennoch Mitglied des gleichen VLANssein. Wenn mehrere Switches mit VLANs konfiguriert sind und diePorts sich um die VLAN-Mitgliedschaft kümmen, bezeichnet mandie Architektur als »Ende-zu-Ende« und »statisch«. Es ist nicht un-gewöhnlich, dass diese Switches in verschiedenen Schränken oderauch in unterschiedlichen Gebäuden liegen. Im gleichen Schrankliegende Switches können ebenfalls über Trunk Lines verbundenwerden.

Was ist ein Trunk?Ganz allgemein kann man eine Trunk Line auf zwei Arten betrach-ten. In der Telefonie steht der Begriff Trunk Line für die Amtsleitung,die die Büros oder die Verteiler verbindet. Diese Verbindungen re-präsentieren eine erhöhte Anzahl von Leitungen oder Zeitmultiplex-Leitungen, wie in Abbildung 4-15 zu sehen ist.

Was ist ein Trunk? 111

Abbildung 4-15 "

Telefonleitungenund Trunks

Telefon 1

Telefon 2

Telefon 3

Telefon 1

Telefon 2

Telefon 3

1

1

2

3

2 3

Bei Datennetzen haben Trunks nur wenig mit der Erhöhung derVerbindungsanzahl zwischen den Switches zu tun. Die primäreAufgabe einer Trunk Line in einemDatennetz besteht darin, VLAN-Informationen zu befördern. Die Trunk Line in Abbildung 4-14transportiert VLAN- und Quality-of-Service-Informationen für denteilnehmenden Switch.

Ist eine Trunk Line installiert, wird ein Trunking-Protokoll verwen-det, um die Ethernet-Frames zu modifizieren, während sie durch dieTrunk Line laufen. Bei den Ports in Abbildung 4-14, die die Swit-ches miteinander verbinden, handelt es sich um Trunk Ports. Dasbedeutet auch, dass es für Switches mehr als einen Betriebsmodusgibt. Standardmäßig werden alle Ports als Zugriffs-Ports (AccessPorts) bezeichnet. Das beschreibt einen Port, der von einem Com-puter oder einem anderen Endgerät genutzt wird, um auf das Netz-werk »zuzugreifen«. Wird ein Port genutzt, um Switches zu ver-binden und VLAN-Informationen zu transportieren, wird er imTrunk-Modus betrieben. Bei einem Cisco-Switch würden Sie bei-spielsweise den Befehl mode verwenden, um die Änderung vor-zunehmen. Geräte anderer Hersteller zeigen an, dass der Port nun»getaggt« ist, d.h., dass nun eine VLAN-ID in die Frames eingefügtwird. Der 802.1Q-Standard umfasst auch Vorkehrungen für Hy-brid-Ports, die sowohl getaggte als auch ungetaggte Frames verste-hen. Um es deutlich zu machen: Knoten und Router sind sich derVLANs häufig nicht bewusst und verwenden »untaggte« Standard-Ethernet-Frames. Trunk Lines, die VLAN- oder Prioritätswerteliefern, verwenden »getaggte« Frames. Ein Beispiel für einen getagg-ten Frame sehen Sie in Abbildung 4-17.


Bei Trunk-Ports läuft also ein Trunking-Protokoll, das es erlaubt,VLAN-Informationen in jeden Frame einzufügen, der durch dieTrunk Line läuft. Für die Konfiguration sind generell zwei Schrittenotwendig: Umschaltung des Ports in den Trunk-Modus und Er-mittlung der zu verwendenden Kapselung (des Trunking-Pro-tokolls).

Mit Abbildung 4-16 wollen wir ein Beispiel durchgehen, wie zweiKnoten über eine Trunk Line miteinander kommunizieren. DieserProzess besteht aus mehreren Schritten (zusätzlich zum Host-Rou-ting), weshalb Abbildung 4-16 basierend auf den Schritten gekenn-zeichnet ist.

192.168.1.254192.168.1.254

PC 1

192.168.1.1

PC 3

192.168.2.1

PC 2

192.168.1.2

PC 4

192.168.2.2

Switch 1:VLAN 1

Switch 1:VLAN 2

Switch 1:VLAN 3

Switch 2:VLAN 2

Switch 2:VLAN 3

Router4 – Neuer 802.1q-FramePC1 → PC2 in VLAN2

3 – Ethernet-Frame mit VLAN-ID 2

2 – Switch 1 SAT PC2 über Trunk-Port (T)

1 – Ethernet

5 – 802.1q-Header entfernen

Switch 2 SAT: Original Ethernet-Frame

an Port 4 weiterleiten

Trunk Line802.1q

Switch 2:VLAN 1

1 2

T T

3 4 5 6

~ Abbildung 4-16Trunking-Traffic zwischenSwitches

PC1 sendet Daten an PC2, nachdem dessen Host-Routingtabelleverarbeitet wurde. Diese Knoten liegen im gleichen VLAN, sind aberan unterschiedliche Switches angeschlossen. Hier der grundlegendeProzess:

1. Der Ethernet-Frame verlässt PC1 und wird von Switch 1 emp-fangen.

2. Die SAT von Switch 1 besagt, dass das Ziel am anderen Endeder Trunk Line liegt.

3. Switch 1 verwendet das Trunking-Protokoll, um den Ethernet-Frame um die VLAN-ID zu ergänzen.

4. Der neue Frame verlässt Switch 1 über den Trunk-Port undwird von Switch 2 empfangen.

5. Switch2 liest die VLAN-ID ein und entfernt das Trunking-Pro-tokoll.

6. Der Original-Frame wird basierend auf der SAT von Switch 2an sein Ziel (Port 4) weitergeleitet.


Das Paket in Abbildung 4-17 zeigt Details dieser Modifikation. Indiesem Fall wurde IEEE 802.1Q als Trunking-Protokoll verwendet.Der Frame ist ein ICMP Echo-Request von PC1→PC2. Da er durchdie Trunk Line läuft, muss der VLAN-Tag eingefügt werden, damitSwitch 2 weiß, wie er das Paket weiterleiten soll.

Abbildung 4-17 ~

Ethernet-Frame mit802.1Q-Trunking

Der Ethernet-Frame ist intakt, doch es gibt verschiedene zusätzlicheFelder wie die VLAN-ID. In diesem Fall liegen die beiden kommuni-zierenden Computer in VLAN 2. Der Binärwert 0000 0000 0010 istzu sehen. Beachten Sie, dass die IP- und ICMP-Header nicht ver-ändert wurden. Da dies aber eine Änderung an einem realen Frameist, muss der Cyclical Redundancy Check (CRC) am Ende desEthernet-Frames neu berechnet werden. Dem Trunking wird übli-cherweise nicht so viel Aufmerksamkeit gewidmet, wie es verdient,doch sobald auf den Switches VLANs konfiguriert sind, muss einTrunking-Protokoll verwendet werden, wenn die VLANs von einemSwitch zum nächsten erhalten bleiben sollen. Ohne Trunk liegen dieKnoten wahrscheinlich alle im gleichen VLAN, was zu den vorhinbeschriebenen Problemen führen kann. Trunks und VLANs sindunverzichtbarer Bestandteil von Standard-Topologien.

Trunking-Protokoll-StandardsZwei Trunking-Protokolle werden in modernen Kommunikations-netzwerken eingesetzt: Inter-Switch Link (ISL) von Cisco und dasbereits erwähnte, nicht-proprietäre IEEE 802.1Q. Von den beidenist IEEE 802.1Q der Industrie-Standard. Selbst Cisco-Switches ver-wenden nun standardmäßig IEEE 802.1Q (dot1q).

IEEE 802.1Q

Der IEEE 802.1Q-Standard heißt vollständig »IEEE Standards forLocal and Metropolitan Area Networks: Virtual Bridged Local AreaNetworks« und beschäftigt sich hauptsächlich mit VLANs selbst.Das Trunking-Protokoll, also das »Tagging« der Frames, wird inspäteren Abschnitten von 802.1Q behandelt. Zur Erinnerung: IEEE802.1D ist der Standard für MAC Access-Control-Bridges, mitdenen Schicht-2-Netzwerke aufgebaut sind. Switch-Hersteller hal-


ten sich an beide Standards und fügen dann Erweiterungen, etwazur Verwaltung, hinzu. Der IEEE 802.1Q-Standard basiert imSprachgebrauch auf Dokumenten wie dem ISO/IEC 15802-3 -Stan-dard für MAC-Bridges.

Bei IEEE 802.1Q wird ein 4-Byte-Header zwischen den Ethernet-und IP-Headern eingefügt. Entsprechend dem 802.1D-Standardwird er im Frame 12 Bytes tief unmittelbar hinter der Quell-MAC-Adresse eingefügt. Der Frame wird also tatsächlich verändert. DerEthernet-Typ, der die Art der gekapselten Daten angibt, muss daherebenfalls geändert werden. Zum Beispiel haben IP-Pakete den Ether-type-Wert 0800, doch wenn sie durch den Trunk laufen, wird er zu8100 geändert, wie Abbildung 4-18 zeigt.

~ Abbildung 4-18Ethertype für IEEE 802.1Q

Der 802.1Q-Header ist sehr einfach und umfasst die folgendenFelder:

• den Tag-Protokoll-Identifier (TPID, 2 Byte)

• Der Wert 8100 steht direkt vor den hervorgehobenen Hexa-dezimalwerten.

• die Tag-Kontrollinformation (Tag Control Information, TCI,2 Byte)

Diese Information kann auf drei Arten erzeugt werden, doch auf dievon Token Ring- und FDDI-Netzwerken verwendeten gehen wirhier nicht weiter ein. Die TCI umfasst die Priorität, den kanonischenFormatindikator und die VLAN-ID. Die hexadezimale, 2 Byte langeTCI aus Abbildung 4-18 lautet 20 65.

PrioritätDie Priorität wird bei Quality-of-Service-Implementierungengenutzt und auch Serviceklasse (Class of Service) genannt. Eshandelt sich um ein Drei-Bit-Feld mit Werten von 000 (0) bis111 (7). Voreingestellt ist die 0, auch wenn die Herstellerhöhere Werte für bestimmte Arten von Traffic empfehlen. Sowird beispielsweise VoIP-Traffic üblicherweise auf einen Wertvon binär 101 (dezimal 5) gesetzt. Abbildung 4-18 zeigt eineleicht erhöhte Priorität von 2. Abbildung 4-19 zeigt priorisiertenTraffic aus einem anderen Netzwerk. In diesem Fall ist diePriorität mit 111 (7) angegeben.


Kanonischer Formatindikator (Canonical Format Indicator, CFI)Dieses Ein-Bit-Feld wurde verwendet, um die mit veraltetenProtokollen wie Token Ring und FDDI assoziierte Bitordnungoder die Flags für Routinginformationen anzuzeigen. Heut-zutage erfolgt nahezu das gesamte Switching mittels Ethernet,weshalb dieses Feld fast nie benutzt wird und typischerweiseauf 0 gesetzt ist.

VLAN-IDDie letzten 12 Bits sind für die VLAN-ID reserviert. Die Werteliegen zwischen 1 und 4095. Hier hat die VLAN-ID den Binär-wert 1100101, was dem dezimalen VLAN 101 entspricht.

Abbildung 4-19 !

Getaggter Frame mitPrioritätsfeld

Inter-Switch-Link (ISL)

Da ISL ein älteres, proprietäres Cisco-Protokoll ist, werden wir nichtviel Zeit auf eine Beschreibung verschwenden. Abbildung 4-20 zeigteinen mit ISL getaggten Frame und verdeutlicht diesen Tagging-Ansatz. IEEE 802.1Q nimmt ein sogenanntes »internes Tagging«vor, bei dem der VLAN-Header zwischen die Ethernet- und IP-Header eingefügt wird. Das erfordert außerdem eine Neuberech-nung der Frame-CRC. ISL stellt das Tag voran. Der ISL-Header istdarüber hinaus deutlich größer als der 802.1Q-Header und kannkeine Prioritäten verarbeiten. Moderne Cisco-Geräte verwendenstandardmäßig IEEE 802.1Q als Trunking- und Tagging-Protokoll.

Abbildung 4-20 !

Mit ISL getaggter Frame


PruningWährend ein bestimmtes VLAN durchaus über einen einzelnenSwitch hinaus gehen und innerhalb der gesamten Topologie ver-fügbar sein kann, muss es trotzdem nicht auf jedem Switch vor-handen sein.

In Abbildung 4-21 gibt es die VLANs 1 und 2 auf beiden Switches.Doch VLAN 3(gelb) gibt es nur auf Switch 1. Den Traffic für VLAN3 an Switch 2 weiterzuleiten ist nicht sinnvoll. Dieses sogenanntePruning hat den Vorteil, dass der Traffic in der Trunk Line reduziertund die Sicherheit möglicherweise erhöht wird, insbesondere beistatischen Topologien. Switch 1 beschneidet (engl. prune) den Traf-fic von VLAN 3 an dessen Trunk-Port.

Router192.168.1.254

PC 1

192.168.1.1

PC 2

192.168.1.2

PC 1

192.168.1.99

PC 2

192.168.2.100

Switch 1:VLAN 1

Switch 1:VLAN 2

Switch 1:VLAN 3

Switch 2:VLAN 2

Switch 2:VLAN 1

Trunk

~ Abbildung 4-21Pruning-Beispiel

Die Hersteller verfolgen unterschiedliche Pruning-Ansätze. Einigeerlauben standardmäßig alle VLANs (Cisco), während andere siestandardmäßig alle unterbinden. Unabhängig vom Hersteller soll-ten Sie aber immer die Trunking-Konfiguration untersuchen undherausfinden, welcher Ansatz für getaggte und ungetaggte Framessowie für das Pruning der beste ist.

Erwägungen zum VLAN-DesignVLANs bauen Grenzen auf, die die Knoten oder den Datenverkehrbeschneiden können. Man sollte sich daher einige Gedanken umdas Design einer Multi-VLAN-Topologie machen. Die generelleFrage muss lauten: »Wer redet mit wem, und was soll damit erreichtwerden?« Die folgende Liste ist als kleiner Leitfaden gedacht.

SkalierungWie groß ist das Netzwerk, und wie weit muss der Trafficlaufen?

Erwägungen zum VLAN-Design 117

Traffic-MusterWelche Wege nehmen die Pakete/Frames?

AnwendungenWarum gibt es den Traffic? Was versuchen die Hosts zu tun?

Netzwerk-ManagementLäuft SNMP oder ein anderes Management-Protokoll? Wiegelangen Sie zu allen Knoten?

Gruppen-GemeinsamkeitenWas haben die Knoten gemeinsam? Gibt es gemeinsam ge-nutzte Ressourcen oder Traffic-Muster?

IP-AdressierungsschemaWie sieht der IP-Adressraum aus? Wie viele Knoten liegen injedem VLAN?

Physische LageLiegen die Knoten im gleichen Büro, Gang oder Gebäude?

Statisch oder dynamischBewegen sich die Knoten, oder sind sie stationär?

Ende-zu-Ende oder lokale VLANsGibt es außerhalb des Knotens liegende Knoten, die Teil einesVLANs sein müssen?

80/20- oder 20/80-DatenflussmusterFließt der Großteil der Daten intern oder extern? Ändert sichdieses Muster?

Gemeinsame SicherheitsanforderungenSind die Knoten Server? Endgeräte? Wireless-Geräte? Stellen dieKnoten wichtige Unternehmensressourcen dar? Sind sie öffent-lich zugänglich?

Quality of ServiceGibt es irgendwelche Erwägungen in Bezug auf die Service-qualität?

Neben diesen allgemeinen Fragen gibt es weitere Vorgehensweisen,die Sicherheitsrisiken mindern und wichtige Netzwerk-Ressourcenschützen:

• Wireless sollte in einem eigenen VLAN liegen. Da Wireless eingemeinsam genutztes Medium (SharedMedia) ist, werden auchder gesamte Broadcast- und ein Großteil des Multicast-Trafficsgeteilt. Darüber hinaus sehen alle Wireless-Knoten jeglichen»gefluteten« Unicast-Traffic. Der Aufbau eines VLANs für dieWireless-Knoten schränkt den Traffic ein, den diese Geräte


sehen können. Darüber hinaus müssen mögliche Angriffe aufden Wireless-Bereich erst einmal die gesetzte Grenze überwin-den, bevor sie andere Teile des Netzwerks erreichen.

• VoIP-Elemente sollten ebenfalls in einem eigenen VLAN liegen.Das dient aber eher der Servicequalität denn der Sicherheit.Wann immer Sprachdaten um Bandbreite konkurrieren, be-steht die Gefahr, dass die Performance einbricht. Auch Sicher-heitsaspekte werden durch das VLAN zum Teil entschärft.Tools wie Wireshark können Sprachdaten nicht nur festhalten,sondern auch dekodieren und abspielen. Es ist daher wichtig,Sprachdaten nach Möglichkeit getrennt vorzuhalten.

• Andere wichtige Netzwerk-Geräte wie Server, oder auch Nut-zer mit sensitiven Daten, sollten ebenfalls in eigenen VLANsliegen. Neben den bereits erwähnten Gründen bieten vieleHersteller außerdem Features an, die den Aufbau von VLANsmit bestimmten Sicherheits- und QoS-Policies erlauben.

SicherheitserwägungenDieses Kapitel hat die Notwendigkeit der Isolation von Trafficbehandelt. Unternehmen müssen nicht alle Daten an jeden Portweiterleiten. Das ist ineffizient und stellt ein potenzielles Sicher-heitsrisiko (durch Lauscher) dar. Es gibt verschiedene Konfigurati-onspunkte, die bei keiner Checkliste für den VLAN-Einsatz fehlendürfen. Eine der größten Herausforderungen beim Einsatz vonNetzwerk-Geräten besteht darin, ihr Standardverhalten zu verste-hen. Switches und Router sind da keine Ausnahme, insbesonderedurch die steigende Zahl von Features.

Einer dieser Punkte ist der Standard-Konfigurationsmodus der Portseines Switches. Die meisten Switch-Ports werden mit Computernverbunden und fungieren daher als Access-Ports. Nicht ganz sooffensichtlich ist aber, dass bei vielen Geräten die Standardkonfigu-ration nicht Access, sondern dynamisch lautet. Das bedeutet, dassder Port bereit ist, den Betriebsmodus auszuhandeln. Sind zweiSwitches miteinander verbunden und ist einer dieser Switches miteinem Trunk-Port konfiguriert, dann werden häufig dynamischeTrunking-Protokoll-Nachrichten generiert. Sobald diese Nachrichteinmal empfangen wurde, kann es sein, dass der zweite Switchseinen Port automatisch in einen Trunk-Port umwandelt. Das ist inAbbildung 4-22 zu sehen.

Erwägungen zum VLAN-Design 119

Router

PC 1

192.168.2.1

PC 2

192.168.3.1 Angreifer kann

ebenfalls ein DTP-Frame generieren

Trunk-Port konfiguriert

DTP-Frame generiert Switch 2, Port 1 wird auto-

matisch zu einem Trunk

PC 1

192.168.2.2

Switch 1:VLAN 1

Switch 1:VLAN 2

Switch 1:VLAN 3

Switch 2:VLAN 2

Switch 2:VLAN 3

Switch 2:VLAN 1

Abbildung 4-22 ~

Sicherheitsrisiko durch dyna-mische Port-Konfiguration

Diese Autokonfiguration klingt zuerst einmal praktisch, doch wassollte einen Angreifer daran hindern, die gleiche Nachricht zu sen-den und einen Port auf die gleiche Weise umzustellen? Der Port desAngreifers empfängt dann Broadcast-, Multicast- und geflutetenUnicast-Traffic für alle nicht dem Pruning unterliegenden VLANs.Ein Angreifer kann auf diese Weise nicht nur mehr über Ihr Netz-werk erfahren, sondern kann auch getaggte Frames erzeugen, dieüber das gesamte Netzwerk ausgeliefert werden können. Die dyna-mische Konfiguration sollte wann immer möglich ausgeschaltetwerden.

Neben dem Pruning an den entsprechenden VLAN-Grenzen undder Standard-Konfiguration der Ports kann es klug sein, zusätzlicheKonfigurationsänderungen vorzunehmen. Ungenutzte Ports kön-nen in einem »toten VLAN« gesammelt werden, das nicht geroutetwird und vom Netzwerk abgeschnitten ist. Viele Hersteller bietenzusätzliche Sicherheitserweiterungen für die Ports an, etwa auto-risierteMAC-Adressen oder eine Beschränkung der erlaubtenMAC-Adressen. Tauchen an einem Port ungültige MAC-Adressen auf,wird er automatisch heruntergefahren oder deaktiviert.

LektüreDer IEEE 802.1Q-Standard heißt eigentlich »IEEE Standardsfor Local and Metropolitan Area Networks: Virtual BridgedLocal Area Networks«.ISO/IEC 15802-3 ANSI/IEEE Std 802.1D: »Information tech-nology – Telecommunications and information exchange bet-ween systems – Local and metropolitan area networks – Com-mon specifications – Part 3: Media Access Control (MAC)Bridges«


ZusammenfassungVLANs sind ein grundlegendes Werkzeug zum Aufbau von Netz-werkgrenzen. Zwar können sie Sie in Bezug auf die Weiterleitungvon Traffic vor große Herausforderungen stellen, sie sind abergleichzeitig in Sachen Sicherheit und Servicequalität ein mächtigesWerkzeug. Dieses Kapitel hat den Betrieb und die Methoden derPropagation von VLANs durch große Topologien behandelt. BeimEinsatz von VLANs und Trunks sind verschiedene Design-Erwä-gungen zu beachten. Die grundlegende Frage lautet: »Wer redet mitwem und warum?« Mit den Topologien und den VLANs wächstauch die Komplexität. Es ist wichtig, das Standardverhalten und dieStandardkonfiguration der Netzwerk-Elemente im Auge zu behal-ten, damit lokale Konfigurationen das Netzwerk nicht einer Gefahraussetzen.

Fragen1. Broadcast-Frames werden weiterpropagiert, bis sie ein gerou-tetes Interface erreichen.

a. WAHR

b. FALSCH

2. Broadcast- und Multicast-Traffic läuft über VLAN-Grenzenhinweg, Unicast-Traffic hingegen nicht.

a. WAHR

b. FALSCH

3. Standardmäßig sind alle Hosts mit dem gleichen VLAN ver-bunden.

a. WAHR

b. FALSCH

4. Hosts wissen üblicherweise nicht, mit welchem VLAN sie ver-bunden sind.

a. WAHR

b. FALSCH

5. In einem modernen Datennetzwerk besteht die primäre Auf-gabe einer Trunk Line in der Übertragung von VLAN-Infor-mationen.

a. WAHR

b. FALSCH

Fragen 121

6. Zwar sind SATs und VLANs beide Teil eines Switches, habenaber nichts miteinander zu tun.

a. WAHR

b. FALSCH

7. Welches ist das Industriestandard-Trunking-Protokoll?

a. ISL

b. IEEE 802.1

c. VLAN

8. Pruning ist eine Technik, die den nicht autorisierten Zugriffauf Trunk-Lines unterbindet.

a. WAHR

b. FALSCH

9. Der dynamische Portmodus stellt ein Sicherheitsrisiko dar, daAngreifer den gesamten VLAN-Traffic sehen können, dernicht dem Pruning unterliegt.

a. WAHR

b. FALSCH

10. Drahtlos- und VoIP-Dienste sollten in eigene VLANs gelegtwerden.

a. WAHR

b. FALSCH

Antworten1. WAHR

2. FALSCH

3. WAHR

4. WAHR

5. WAHR

6. FALSCH

7. IEEE 802.1

8. FALSCH

9. FALSCH

10. WAHR


Laborübungen

Übung 1: Ein lokales VLAN einrichtenMaterial: Ein VLAN-fähiger Switch und ein Router. Ein Heim-Gate-way kann verwendet werden, wenn man es in einen Router um-wandeln kann, um mit dem NAT-Betrieb nicht durcheinanderzu-kommen.

Hinweis: Das Ziel dieser Übung besteht einfach darin, die Grund-konfiguration zu verstehen, die für ein Routing zwischen VLANsohne Trunks notwendig ist (siehe Abbildung 4-23).

192.168.1.254 192.168.2.254

PC 1

192.168.1.1 PC 2

192.168.1.2

PC 3

192.168.2.1

PC 4

192.168.2.2

VLAN 1

Gebäude 10 1. Stock Gebäude 10 2. Stock

VLAN 2

Router

Switch 1

3 Abbildung 4-23Übung 1

1. Legen Sie auf dem Switch zwei VLANs an.

2. Fügen Sie einen Host in jedes VLAN ein, und ermitteln Sie dasIP-Adressierungsschema. So könnte ein VLAN beispielsweise192.168.1.0 verwenden und das andere 192.168.2.0. Prakti-scher Cisco-Befehl: switchport access vlan X.

3. Verbinden Sie eine Router-Schnittstelle mit jedem VLAN, undweisen Sie ihr die richtigen IP-Adressen zu. An diesem Punktsollten sich die Knoten der verschiedenen Netzwerke gegen-seitig »anpingen« können.

Übung 2: VLANs und die SATMaterial: Ein VLAN-fähiger Switch und ein Router.

1. Sobald die Topologie aus Übung 1 steht, lassen sich alle Knotenund Router-Schnittstellen anpingen.

2. Untersuchen Sie die SAT des Switches. Praktischer Cisco-Be-fehl: show mac-address-table

Laborübungen 123

3. Vergleichen Sie die Tabelle mit einer, bei der alle Knoten imgleichen VLAN liegen.

4. Entwickeln Sie mit den Informationen in der SAT und derRoutingtabelle des Routers eine Schritt-für-Schritt-Prozedurzum Forwarding von Paketen von einem Computer zum ande-ren.

Übung 3: Was sehen Sie?Material: Ein VLAN-fähiger Switch, ein Router und Wireshark.

Das Ziel dieser Übung besteht darin, herauszufinden, wie weit derTraffic in einem VLAN reist und ob er in einem anderen VLAN amgleichen Switch zu sehen ist.

1. Starten Sie ein Capture auf einem der Netzwerk-Hosts in einemder VLANs.

2. Im anderen VLAN erzeugen Sie Broadcast-Traffic, indem Sieeine ungenutzte IP-Adresse im gleichen Netzwerk anpingen,was einen ARP-Request generiert.

3. Auf dem gleichen Host generieren Sie Unicast-Traffic, indemSie den Router anpingen.

4. Wie sich herausstellt, generieren Windows-PCs periodischMulticast-Traffic, wenn sie nach Diensten suchen.

5. Hat der Capture-Knoten im anderen VLAN den Unicast-,Multicast- oder Broadcast-Traffic des Quell-Hosts gesehen?Die Antwort muss »NEIN« lauten.

6. Als zusätzliches Experiment ändern Sie die IP-Adresse des Cap-ture-Hosts so ab, dass er im gleichen Netzwerk wie der Quell-Host liegt. Die Rechner liegen nun also im gleichen IP-Netz-werk, aber in verschiedenen VLANs. Versuchen Sie nun, diebeiden Knoten anzupingen. Dieser Versuch sollte scheitern, dadie Rechner zwar im gleichen Netzwerk liegen, aber durch denSwitch getrennt wurden und Traffic die VLAN-Grenze nichtüberschreiten kann.

Übung 4: Einfaches TrunkingMaterial: Ein zweiter VLAN-fähiger Switch, ein Trunk-fähigerSwitch und ein Router.

1. Verbinden Sie einen weiteren Switch mit der bereits bestehen-den Topologie.

2. Auf dem neuen Switch legen Sie die gleichen VLANs an.


3. Binden Sie einen Host in jedes VLAN ein. Wenn Sie nicht ge-nug Computer haben, reicht es aus, einen in einem VLAN amersten Switch und den zweiten in dem anderen VLAN amneuen Switch anzuschließen (siehe Abbildung 4-24).

! Abbildung 4-24Übung 4

192.168.1.254192.168.1.254

PC 1

192.168.1.1

PC 4

192.168.2.2

Switch 1:VLAN 1

Switch 1:VLAN 2

Switch 1:VLAN 3

Switch 2:VLAN 2

Switch 2:VLAN 3

RouterTrunk Line

802.1q

Switch 2:VLAN 1

1 2

T T

3 4 5 6

4. An beiden Switches konfigurieren Sie die Ports als Trunk-Ports,die die Switches miteinander verbinden. Praktischer Cisco-Be-fehl: switchport mode trunk, switchport trunk encapsulation

dot1q

5. An diesem Punkt sollten die Netzwerk-Hosts in der Lage sein,sich gegenseitig anzupingen.

6. Als zusätzliche Übung können Sie die Fähigkeiten der Switchesuntersuchen. Versuchen Sie, einen Host einzurichten, der denüber den Trunk laufenden Traffic festhalten kann. Das ge-schieht üblicherweise mit einem Mirror- oder Monitor-Port.Das Ziel ist, die im Trunk verwendeten IEEE 802.1Q-Tags zuuntersuchen. Praktischer Cisco-Befehl: monitor session

Laborübungen 125

kapitel 4 in diesem kapitel: vlans und trunking · ~abbildung 4-5 switch-sat- und vlan-ausgabe eine...

Documents